LetsDefend level 1 alert SOC165 - Possible SQL Injection Payload Detected event-id 115
Details
EventID : 115
Event Time : Feb, 25, 2022, 11:34 AM
Rule : SOC165 - Possible SQL Injection Payload Detected
Level : Security Analyst
Hostname : WebServer1001
Destination IP Address : 172.16.17.18
Source IP Address : 167.99.169.17
HTTP Request Method : GET
Requested URL : https[:]//172.16.17.18/search/?q=%22%20OR%201%20%3D%201%20--%20-
User-Agent : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1
Alert Trigger Reason : Requested URL Contains OR 1 = 1
Device Action : Allowed
playbook
Is Traffic Malicious?
Answer:Malicious
What Is The Attack Type?
https[:]//172.16.17.18/search/?q=%22%20OR%201%20%3D%201%20--%20- Requested URL Contains OR 1 = 1
Answer:SQL Injection
Check If It Is a Planned Test
テストを行うというようなメールは見つからなかった.
Answer:Not Planned
What Is the Direction of Traffic?
167.99.169.17(Internet) -> 172.16.17.18(Company Network)
Answer:Internet -> Company Network
Was the Attack Successful?
- Log Management
Request URL: https[:]//172.16.17.18/search/?q=%22%20OR%201%20%3D%201%20--%20- User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1 Request Method: GET Device Action: Permitted HTTP Response Size:: 948 HTTP Response Status: 500
Answer:No
Add Artifacts
Value | Type | Comment |
---|---|---|
167.99.169.17 | source ip - known as a malicious IP *1 | IP Address |
172.16.17.18 | dest ip | IP Address |
*1 167.99.169.17
- https://www.virustotal.com/gui/url/3d4d8df22a4a3f78099fdcf3ab0cdc3359989c50928b3ab1f6718940bf54d56f/detection
- https://www.abuseipdb.com/check/167.99.169.17
- https://ip-sc.net/ja/r/167.99.169.17
Do You Need Tier 2 Escalation?
アクセスは成功していないと思われる.
Answer:No
End
LetsDefend Challenge DFIR: Port Scan Activity writeup
LetsDefend Challenge DFIR: Port Scan Activity
Question1: What is the IP address scanning the environment?
一番沢山パケットを飛ばしていそうなのが怪しい.
$ tshark -r port\ scan.pcap -z conv,ip -q ================================================================================ IPv4 Conversations Filter:<No Filter> | <- | | -> | | Total | Relative | Duration | | Frames Bytes | | Frames Bytes | | Frames Bytes | Start | | 10.42.42.25 <-> 10.42.42.253 3405 228014 2007 120664 5412 348678 0.607596000 603.2091 10.42.42.50 <-> 10.42.42.253 2044 137680 2027 122269 4071 259949 0.000000000 603.9423 10.42.42.56 <-> 10.42.42.253 2013 135910 2013 121868 4026 257778 0.607594000 605.4745 10.42.42.25 <-> 10.42.42.50 40 2996 60 4968 100 7964 183.844341000 360.7820 10.42.42.50 <-> 10.255.255.255 0 0 12 1104 12 1104 166.033287000 53.3117 10.42.42.25 <-> 10.255.255.255 0 0 4 368 4 368 183.843619000 360.4177 ================================================================================
A. {10.42.42.253}
Question2: What is the IP address found as a result of the scan?
SYN,ACK,FINでFINまでしていて,ip.dstがスキャンしているipのものだと思われる.
$ tshark -r port\ scan.pcap -Y "tcp.flags.fin==1 && ip.dst==10.42.42.253" 13535 603.076261 10.42.42.50 → 10.42.42.253 NBSS 71 Negative session response, Unspecified error 13536 603.076264 10.42.42.50 → 10.42.42.253 TCP 66 135 → 43490 [FIN, ACK] Seq=1 Ack=33 Win=65503 Len=0 TSval=177445 TSecr=3450708 13546 603.080033 10.42.42.50 → 10.42.42.253 TCP 66 135 → 43492 [FIN, ACK] Seq=25 Ack=169 Win=65367 Len=0 TSval=177446 TSecr=3450709
A.{10.42.42.50}
Question3: What is the MAC address of the Apple system it finds?
$ tshark -r port\ scan.pcap -z conv,ip -q ================================================================================ IPv4 Conversations Filter:<No Filter> | <- | | -> | | Total | Relative | Duration | | Frames Bytes | | Frames Bytes | | Frames Bytes | Start | | 10.42.42.25 <-> 10.42.42.253 3405 228014 2007 120664 5412 348678 0.607596000 603.2091 10.42.42.50 <-> 10.42.42.253 2044 137680 2027 122269 4071 259949 0.000000000 603.9423 10.42.42.56 <-> 10.42.42.253 2013 135910 2013 121868 4026 257778 0.607594000 605.4745 10.42.42.25 <-> 10.42.42.50 40 2996 60 4968 100 7964 183.844341000 360.7820 10.42.42.50 <-> 10.255.255.255 0 0 12 1104 12 1104 166.033287000 53.3117 10.42.42.25 <-> 10.255.255.255 0 0 4 368 4 368 183.843619000 360.4177 ================================================================================ $ tshark -r port\ scan.pcap -z conv,eth -q ================================================================================ Ethernet Conversations Filter:<No Filter> | <- | | -> | | Total | Relative | Duration | | Frames Bytes | | Frames Bytes | | Frames Bytes | Start | | Apple_92:6e:dc <-> QuantaCo_82:1f:4a 3405 228014 2007 120664 5412 348678 0.607596000 603.2091 QuantaCo_82:1f:4a <-> CompalIn_51:d7:b2 2027 122269 2044 137680 4071 259949 0.000000000 603.9423 QuantaCo_82:1f:4a <-> CompalIn_cb:1e:79 2013 121868 2013 135910 4026 257778 0.607594000 605.4745 Apple_92:6e:dc <-> CompalIn_51:d7:b2 40 2996 60 4968 100 7964 183.844341000 360.7820 CompalIn_51:d7:b2 <-> Broadcast 0 0 12 1104 12 1104 166.033287000 53.3117 Apple_92:6e:dc <-> Broadcast 0 0 4 368 4 368 183.843619000 360.4177 ================================================================================
ipの統計と見比べると,どのipのmacaddrがAppleのか分かる.
Apple_92:6e:dc (00:16:cb:92:6e:dc)
A.{00:16:cb:92:6e:dc}
Question4: What is the IP address of the detected Windows system?
どうしたらwindowsのipが分かるのか少し考えたが,今回のipは4種類のみ
10.42.42.25 apple? 10.42.42.50 ?????? 10.42.42.253 スキャナー 10.255.255.255 ブロードキャスト
こうやって見ると,一つに絞られる.
A.{10.42.42.50}
Blue Team Level 1 gold coinを獲得しました。
BTL1(Blue Team Level 1)の概要
名前の通りBlue Teamのための資格であって、
- フィッシング攻撃の分析と対応
- デジタル証拠の収集および分析するフォレンジック調査
- SIEMプラットフォーム(splank)を使用して悪意のあるアクティビティの調査
- マルウェア感染を含むログおよびネットワークトラフィック分析
等々の入り口のような実践的なスキルを学ぶことができる。
試験の準備
申し込み
通常価格は、£399です。399ポンドで高いなぁと常々思っていたが、ブラックフライデーのときに100ポンド安かったので買ってみました。
申し込み段階での自身のBlueTeam関連スキル
分かりやすい?ものだけピックアップ
- CTFはForensicsだけを狙って1年半くらい集中していた
- Enisa - Technicalにある無料コンテンツは、全て取り組み済み
- CFReDSのHacking Caseだけは完走
- Autopsy 8-Hour Online Trainingを完走
申し込み後にアクセスできるコンテンツ
購入後に、コンテンツやトレーニングコンテンツごとに用意されたラボ環境へのアクセスは今は4か月可能らしい。自分の場合には、たしか購入時に30日以内にコンテンツアクセスを始めるかどうか選べてすぐに始める方を購入した。その後、買ったまま他のコンテンツで学習していたので放置状態になり3か月くらい経って、そろそろやろうと思ったときにBTLの試験形態やコンテンツが大きく更新され、それに伴ってアクセス期間も3か月伸びていたのでさらに放置して、最後の2週間くらいで頑張りました。
アクセスできる学習コンテンツは、BlueTeamやサイバーセキュリティに関連する基礎知識や実践的なスキルの説明を読むだけのインプット系、そしてインプット系で得た知識を実践するLab環境がある。インプット系は公式の紹介ページにあるようなものを読むだけ。この読み物コンテンツは、特定の分野に偏ったものなので自分の場合には調べてもすぐに出てこないような話が沢山あって面白かったです。
Lab環境は、インプット系の学習コンテンツを読んでいるときに「次はLabに取り組みましょう」というようなときに関連スキルを実践できる。WebブラウザからアクセスするVNC。
Labは画像のように、必要なものが構築された環境(windowsのときもある)にそのときに取り組む問題ファイルが用意されており、ファイルを調査して問題に解答する。ここで仕方がないことだが、Lab環境が用意されている、つまりアクセス先は
London, California, Sydney, Mumbaiでどこもping値が高い。自分の環境では、Californiaが一番マシで80~110のping値でweb vnc経由で環境を触っていた。お察しの通りまあまあ遅延があり偶に接続できなかったりフリーズすることもあるので、そういうのに耐えられない場合、まだ受けない方が良いかもしれません。ちなみに試験も、web vncの環境で調査を行うので同じように遅延に悩まされつつ取り組みました。自分の場合は、アパート備え付けのケーブルテレビのよわよわ回線なので光の良い回線を使っている人々はそんなに酷くないのかもしれません。Lab環境へのアクセスは、起動から6時間、全部合わせて100時間の制限があり時間を使いきった場合には追加(有料)できる。自分の場合はあまり使うことが無かったので94時間ほど残っている。
最初の説明では、「学習コンテンツに取り組まずに試験に取り組むこともできる」とあるが、新たな発見が必ずあるハズでもあるし、せっかくお金払ったのでやはり全部触り切ってから試験に臨むべきです。
申し込み後の追加学習
- LetsDefendにサブスクしてMonitoringに沢山取り組む。
- BTL1を提供してるところと同じところ?が運営しているBlue Team Lab Onlineの無料で取り組めるChallnegesに取り組む。
- CyberDefendersの過去のCTFに取り組む
等々
LetsDefendのMonitoringに沢山取り組んだことで、Phishingの一般的な手口、ありがちなMalicious File形式等が見えてきたのでとても役立った。
自分の場合には試験でmalicious pdfがあり、どんなものか簡易的に確認するためにpdfの構造を知っていたので、このpdfの構造を調べるきっかけになったCyberDefendersのGetPDFに取り組んでおいて良かった。
試験
試験は学習コンテンツにアクセスするページからリクエストすると、5分くらいで始まる。Webカメラの設定や試験官とのコミュニケーション等は無く、本当に気づいたら始まっている。試験時間は24時間、問題は自分のときは20問あり、Lab環境のときと同じような問題形式になっている。試験環境はLab環境と同じような環境にアクセスし、自分の場合には主にphising mailの解析、侵害されたpcのイメージの解析、pcapの解析、splunkに溜まったログからインシデントに関するものの調査を行った。これらの調査により得られた情報から問題に解答する。問題は文章で答えるようなものではなく、一問一答の形式になっている。この問題を通して、インシデントの理解を進めていく。Lab環境と同じように試験環境も先の通りping値が高いので、遅延があっても落ち着いて急にフリーズしても焦らず取り組んだ。
試験では学習コンテンツで学ぶ内容だけでなく、他にも事前知識があった方がやはり取り組みやすい。例えば、
- javascriptは読める
- 学習コンテンツにあったもの以外のAutopsyの機能も難なく利用できる
等々。やはり、BTLが初級編と言っても事前知識は色々とあった方が楽なので学習コンテンツだけで満足せずに、他にも様々なリソースに触れておくべきです。
解答を提出すると、すぐに採点され結果が分かる。このとき70%以上で合格、90%以上(初回試験)でGold Coinに該当する。不合格の場合でも、1回だけは再試験の権利を持っている。
最後に一言
ping値で少しピンチな試験だった。
LetsDefend level 1 alert SOC105 - Requested T.I. URL address event-id 16
Details
EventID: 16
Event Time: Sept. 20, 2020, 10:54 p.m.
Rule: SOC105 - Requested T.I. URL address
Level: Security Analyst
Source Address 172.148.17.47
Source Hostname BillPRD
Destination Address 5.188.0.251
Destination Hostname pssd-ltdgroup.com
Username Mike01
Request URL https[:]//pssd-ltdgroup[.]com
User Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 Edge/15.15063
Device Action Allowed
playbook
Analyze Threat Intel Data
URL https[:]//pssd-ltdgroup[.]com/
VirusTotal 9/93: https://www.virustotal.com/gui/url/59da6e4583f0ceeb2b5d3933f883ccad9bfc91cd3bbfc0c4afb37c0eafc9ce48/detection
登録数は少ないが、Avira,Bitdefender,ESET,Fortinet,Sophosといった有名どころに登録されている。
Forcepoint ThreatSeeker elevated exposure Sophos spyware and malware Webroot Phishing and Other Frauds
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/e06dcdb951cbef8ffddd75a9a2d38382d41a4c9ce98569409ab21133c8bfb981?environmentId=100
こちらでも、Maliciousの判定が出ている。
Domain pssd-ltdgroup[.]com
VirusTotal 9/90: https://www.virustotal.com/gui/domain/pssd-ltdgroup.com/relations
ドメインでも検知数はあまり変わらないが、Communicating Filesには明らかにマルウェアが多い。
5.188.0.251
AbuseIPDB: https://www.abuseipdb.com/check/5.188.0.251
登録はあるが、レポートは少ない。
ip-sc: https://ip-sc.net/ja/r/5.188.0.251
SCAMALYTICS: https://scamalytics.com/ip/5.188.0.251
ip-scでは脅威として登録されていないが、SCAMALYTICSではVery high Riskとなっている。
Connection type wireless?
Answer:Malicious
Interaction with TI data
Log
DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
---|---|---|---|---|---|
Sep, 20, 2020, 10:54 PM | Firewall | 172.16.17.47 | 54211 | 5.188.0.251 | 443 |
Sep, 20, 2020, 10:54 PM | Proxy | 172.16.17.47 | 54211 | 5.188.0.251 | 443 |
Main Process: Krankheitsmeldung_092020_07.xlsm Request URL: https://pssd-ltdgroup.com
おや、xlsmからのURLへのアクセスのようだ。
Endpoint
Process History Krankheitsmeldung_092020_07.xlsm MD5:14970ce0a3d03c46a4180db69866d0d1 Path:c:/users/Bill/desktop/Krankheitsmeldung_092020_07.xlsm Size:558.83 KB Username:Bill01 Start Time:20.09.2020 22:51
ちなみに、
14970ce0a3d03c46a4180db69866d0d1 - VirusTotal 45/64: https://www.virustotal.com/gui/file/0e3a83e441951860929c99e24bf19e76fe281c3e1b1f7f3aea49b0a38673f873
Malicious!
Answer:Accessed
Containment
Add Artifacts
Value | Type | Comment |
---|---|---|
https[:]//pssd-ltdgroup[.]com | URL Address | accessed from malicious xlsm file |
14970ce0a3d03c46a4180db69866d0d1 | MD5 Hash | Requested T.I. URL address |
True Positive
End
LetsDefend level 1 alert SOC106 - Found Suspicious File - TI Data event-id 17
Details
EventID: 17
Event Time: Sept. 22, 2020, 11:10 a.m.
Rule: SOC106 - Found Suspicious File - TI Data
Level: Security Analyst
Source Address 172.148.17.150
Source Hostname ChanProd
File Name ChromeSetup.exe
File Hash 1430438f19e3d3e2b375d127c68254ab
File Size 63.65 MB
Device Action Cleaned
Download (Password:infected): 1430438f19e3d3e2b375d127c68254ab.zip
playbook
Check if the malware is quarantined/cleaned
Device Action Cleaned
であるので
Answer: Quarantined
Analyze Malware
まず該当ファイルは、
$ file ChromeSetup.exe ChromeSetup.exe: PE32 executable (GUI) Intel 80386, for MS Windows $ md5sum ChromeSetup.exe 1430438f19e3d3e2b375d127c68254ab ChromeSetup.exe
VirusTotal: https://www.virustotal.com/gui/file/38dbb5166b28e62fbc482646618a55dc8430fa596d98df6f3eed257df0007db0
VTでは、Maliciousとの報告は無い。
ANYRUN: https://app.any.run/tasks/c8dfb3da-52c3-4df4-8c9e-d91bd4b03129/
ANYRUNでは、動作にはMaliciousの判定がある。ただ、公式から配布されているChromeSetupもMaliciousの判定がついているためANYRUNでは判断しづらい。
通信先は、Maliciousとして登録されているものは無いが怪しいロシアのサーバであるとのレポートも見られる。
redirector.gvt1[.]com - VirusTotal: https://www.virustotal.com/gui/domain/redirector.gvt1.com/community
ただ、ベンダーにMaliciousと登録されているものは無いのでMaliciousではないと判断する。
Answer: Non-malicious
Add Artifacts
Value | Type | Comment |
---|---|---|
1430438f19e3d3e2b375d127c68254ab | MD5 Hash | ChromeSetup.exe |
False Positive
End
導入当時は信頼できるものであったも、自動取得するようなセキュリティの情報元は定期的に見直すべきかもしれない。